Beiträge

Google for Work ist jetzt ISO/IEC 27018:2014 zertifiziert

Wir erklären, was dass für Sie als Kunde und Nutzer bedeutet und warum Sie Google Ihre Daten unbesorgt anvertrauen können.

Neuer Standard war dringend notwendig

Die ISO/IEC 27018 wurde im August 2014 speziell für Clouddienste wie Microsofts Office 365 oder Google Apps for Business (dass jetzt Google Apps for Work heißt) erstellt und hat die Regulierung der Verarbeitung von personenbezogenen Daten in einer öffentlichen Cloud zum Inhalt. Mehr Infos zum Thema in diesem Artikel von datenschutzbeauftagter-info.de.

Ihre personenbezogenen Daten in der Google Cloud

Neben Punkten, wie der gesetzlich geregelten Herausgabe von Nutzer-Informationen an Behörden, regelt dieser neue Standard z.B. auch, dass personenbezogene Daten für Marketing- oder Werbezwecke nur dann genutzt werden dürfen, wenn der Kunde seine ausdrückliche Einwilligung dazu gegeben hat. Speziell diesen Vorwurf musste sich Google Apps for Work in der Vergangenheit des Öfteren gefallen lassen, da viele Kritiker diese Verfahrensweise von den kostenfreien GMail-Konten für Privatnutzer kennen und annahmen, sie träfen auch auf das Business-Produkt zu. Privatnutzer können GMail tatsächlich kostenfrei nutzen, gerade weil Google Ihnen passende Werbung neben dem Posteingang liefert. In Googles Produktlinie für den Business-Bereich, war diese Funktion schon immer deaktivierbar.

Was genau wurde zertifiziert

Ernst & Young, als unabhängiger Auditor, hat nun einen Grossteil der Dienste, die man mit Google Apps for Work und Google Apps for Education nutzen kann, geprüft und entsprechend zertifiziert. Darunter nicht nur Kerndienste wie GMail, Google Kalender und Google Docs, sondern auch die rechtssichere Emailarchivierung Google Apps Vault und den Chat-Dienst Google Hangouts. Auch das Soziale Netzwerk Google+ und Google Apps Script, welche ähnlich verwendet werden können, wie früher die Makros in Microsoft Excel, haben die Zertifizierung erhalten.Übersicht der Zertifikate nach Google Dienst

Alles in allem auch für deutsche Firmen eine echte Alternative

Mit dieser neuen Zertifizierung kommt Google speziell bei Kunden im deutschen Mittelstand ein grosses Stück weiter, da es nun kaum noch Argumente gegen Googles Cloudlösungen gibt. Auch schon vor der neuerlichen Zertifizierung hatten Experten wie Oliver Stutz im Blog von datenschutz-notizen.de aus deutscher datenschutzrechtlicher Sicht geschildert, warum sie das Produkt in Deutschland für uneingeschränkt nutzbar halten.

Offizielle Meldung von Google über die neue Zertifizierung

Das Google Zertifikat mit der Übersicht über alle zertifizierten Dienste

Insbesondere bei cloud-basierten Arbeitsumgebungen wie Podio, ist Datenschutz das zentrale Anliegen der Nutzer. Die Sicherheit aller mit Podio verwalteten Daten hat bei der Bereitstellung aller Podio-Services deshalb höchste Priorität. Wie die mehrstufige, von vorneherein integrierte Sicherheitsarchitektur die sensiblen Firmendaten in der Cloud umfassend schützt, stellt Citrix in einem White Paper zum Thema Sicherheit bei Podio  vor. Hier die wichtigsten Sicherheitsmaßnahmen im Überblick:

Sicherheit durch Benutzerauthentifizierung

Ein wesentliches Element der Informationssicherheit ist die sichere Identifizierung und Authentifizierung von Personen, die Zugriff auf die Informationen erhalten. Alle Benutzer müssen sich mit einem validierten E-Mail-Konto, das mit einer identifizierten Organisation verbunden ist, registrieren. Darüber hinaus werden zahlreiche Techniken eingesetzt, um einen unbefugten Kontozugriff zu erkennen und verhindern: Dazu gehören die Forderung nach einem komplexen Passwort, eine durch wiederholt erfolglose Login-Versuche ausgelöste Kontensperrung, und die Protokollierung sowie kontinuierliche Überwachung des Kontos auf anormale Aktivitäten.

Alle Zugriffe auf Podio werden nur über Verbindungen, die mit Secure Sockets Layer (SSL) gesichert sind, zugelassen. So bleiben alle zwischen Podio und dem Browser oder der mobilen App des Benutzers weitergeleiteten Informationen sicher vor Lausch- oder Man-in-the-Middle- Angriffen.

Datenzentren in Deutschland und den Niederlanden

Die Daten der Podio-Nutzer werden auf Servern innerhalb der EU – in Frankfurt und Amsterdam – gespeichert und über diese bereitgestellt. Diese Server liegen in hochsicheren Rechenzentren, zu denen nur autorisierte Personen Zugang erhalten. Citrix sorgt mit den aktuellsten Sicherheitsupdates und periodischen Neubewertungen durch interne sowie unabhängige Prüfungen dafür, dass die Server stets dem aktuell höchstmöglichen Schutz unterliegen.

Alle Schutzmaßnahmen der Welt sind sinnlos, wenn nicht jederzeit auf wichtige Daten oder Systeme zugegriffen werden kann. So hat Citrix die Verfügbarkeit zur Top-Priorität erklärt. Der Netzwerkzugriff auf alle beteiligten Systeme ist streng durch Firewalls und andere Netzwerksicherheitsgeräte zur Erkennung und Reaktion auf verschiedene Angriffe gesteuert. Die Verbindung zwischen den Podio-Servern erfolgt über die Nutzung verschlüsselter Rechnernetze (Tunnel). Um die unbeabsichtigte Zerstörung oder die Beschädigung von Daten zu verhindern, werden alle Podio-Systeme stündlich und täglich gesichert, mit Backups verschlüsselt und an einem sicheren Ort Off-Site gespeichert. Zusätzlich enthält die Schnittstelle einen Schutzmechanismus, der eine explizite Benutzerbestätigung vor der Ausführung von Löschanträgen vom Nutzer einfordert.

Sicherheit durch das Podio-Systemdesign

Alle Daten befinden sich in Arbeitsbereichen, die mit spezifischen Organisationen verbunden sind. Nur Benutzern, denen explizit Zugriff auf die Daten gewährt wird, können diese sehen oder modifizieren. Die Konzeption des Systems erfordert, dass bei jeder Zugriffsanfrage durch ein Subsystem geprüft wird, ob der Benutzer entsprechende Rechte zur Ausführung hat. Auch Podio-Mitarbeiter oder -Administratoren können nicht auf Nutzerdaten zugreifen, wenn ihnen nicht das Recht dazu erteilt wird. Im Gegensatz zu einigen Datenmanagementsystemen beinhaltet Podio nämlich nicht das Konzept eines „Superuser“-Zugangs.

Zusätzlich garantieren in Podio beinhaltete Software-Services dafür, dass in jeder Phase der Entwicklung und des Einsatzes von Podio alle Sicherheitstechniken integriert werden. Jede bedeutende Design- und Architekturentscheidung, die ein Nutzer trifft, durchläuft zudem eine sogenannte „Bedrohungsanalyse“. Alle in Hinblick auf die vorgeschlagene Konstruktion vorhersehbaren Gefahren für das System werden hier vor ihrer Umsetzung in Podio gemessen und auswertet.

Das Podio Security-White Paper gibt es (in englischer Sprache) hier.

Bildquelle: Shutterstock/Sergey Nivens

Anlässlich der SXSW-Konferenz in Austin versicherte Googles Verwaltungsratschef Eric Schmidt, dass die Nutzerdaten von Google-Kunden nun geschützt seien.

Nachdem im Rahmen des NSA-Skandals bekannt wurde, dass die NSA und andere US-Geheimdienste wohlmöglich illegal direkten Zugriff auf die internen Google-Netzwerke hatten, beschleunigte Google die bereits laufenden Arbeiten an zusätzlichen Verschlüsselungssystemen im großen Umfang. Nach Abschluss dieser, so Schmidt, sei er sich heute ziemlich sicher, dass die Nutzerdaten der Google-Kunden nun vor unrechtmäßigen Fremdzugriffen geschützt sind.

Hier der Link zur Quelle (heise online).

Bildquelle: http://www.google.de/press/images.html

Seit im Sommer 2013 die Veröffentlichung der von Edward Snowden entwendeten geheimen Dokumente der National Security Agency (NSA) ihren Anfang nahm, hat der größte Überwachungsskandal der Geschichte längst ungeahnte Dimensionen erreicht – wenngleich ein Ende der Enthüllungsmeldungen nicht absehbar ist. Während die Veröffentlichung der geheimen Informationen anfangs Reaktionen massiver Empörung über die Macht, Unkontrollierbarkeit und Intransparenz der Geheimdienste hervorriefen, scheinen neue „skandalträchtige“ Meldungen nun immer mehr an medialem Aufreger-Potenzial zu verlieren – wohl weil sie den eigentlichen Erkenntnisprozess kaum mehr maßgeblich beeinflussen. Denn längst steht fest: Das erlangte Wissen über die weltweite Überwachungsinfrastruktur hat die Sicht auf Datensicherheit in digitalen Sphären nachhaltig verändert.

Eine generelle Skepsis ist im Kontext der Digitalisierung zwar nicht neu, doch ist sie infolge der NSA-Affäre mit voller Wucht ins Bewusstsein der Anwender eingedrungen. Im Mittelpunkt stehen – im privaten wie im geschäftlichen Kontext – die Themen Datenschutz und Datensicherheit im Netz. Gekoppelt an die diffuse Informationslage im Skandalgeschehen, wirkt bei den Nutzern von Online-Diensten vor allem Verunsicherung nach: Was bedeutet Überwachung für den Anwender von Online-Diensten (wie Google Apps for Business)?

Rechtliche Autorisierung der NSA-Überwachung

Die geheimdienstlichen Aktivitäten spielen sich selbstverständlich weiterhin im Verborgenen ab, eine effektive Kontrolle und parlamentarische Überwachung wird als nahezu unmöglich eingeschätzt, obwohl verschiedenen Regierungszweigen die Aufsicht über die Programme und das Vorgehen der NSA obliegt. Doch was darf die NSA überhaupt aus rechtlicher Sicht? Die NSA agiert nach Aussage ihres Direktors getreu dem Prinzip, „wer die Nadel finden will, braucht eben auch den Heuhaufen.“ Als Rechtfertigung für die weltweite Massenüberwachung wird jedenfalls stets der Kampf gegen den Terrorismus (und den Waffenhandel) hervorgehoben.

Die geheimdienstliche Informationssammlung wird mit einer Vielzahl an Programmen und (rechtlich erzwungenen) Kooperationen mit Internet- und Telekommunikationsdienstleistern vorgenommen – rechtliche Autorisierung für ihre Vorgehensweise und eingesetzten Programme erhält die NSA durch komplexe Gesetzes-Mechanismen. Diese wurden vornehmlich nach dem 11. September 2001 geschaffen oder entsprechend ausgeweitet. Die wichtigsten Rechtsgrundlagen bieten der USA PATRIOT Act sowie der Foreign Intelligence Surveillance Act (FISA), die jeweils Grundrechte betreffende Gesetze einschränken. Der USA PATRIOT Act soll die Vereinfachung von Ermittlungen durch die Bundesbehörden im Fall einer terroristischen Bedrohung gewährleisten. Im Rahmen dieses Gesetzes können zum Beispiel anhand der National Security Letter (NSL) der Federal Bureau of Investigation (FBI) ohne richterlichen Beschluss Auskunftsersuchen zu Nutzern an Unternehmen wie Google gerichtet werden, sofern Ermittlungen zur nationalen Sicherheit durchgeführt werden. Herausgegeben werden müssen dann Metadaten (Adresse, Dauer des Dienstes oder Abrechnungsunterlagen) der Nutzer, aber keine Kommunikationsinhalte. Die Herausgabe der Inhalte kann dann im Rahmen des Abhörgesetzes FISA eingefordert werden – durch Anordnungen, die von einem speziellen FISA-Gerichtshof erteilt werden. Dies ist nur ein kurzer Abriss zum gesetzlichen Hintergrund des Überwachungsapparats der NSA, der noch viel größere Bogen spannen kann. Ebenso verfügen auch andere westliche Geheimdienste über ähnliche Rechtsmittel, mit denen sie aus Gründen der nationalen Sicherheit die Offenlegung von Informationen fordern können.

Google: Reaktionen und Transparenzbemühungen

Besonders geriet die amerikanische Internet-Branche unter Erklärungsdruck, nachdem veröffentlichte Dokumente den Eindruck erweckten, die NSA könne nach Belieben direkt auf Nutzerdaten zugreifen. Inwieweit ein unautorisierter Zugriff auf die großen Internet-Konzerne tatsächlich stattgefunden hat, kann nur bedingt nachvollzogen werden – Google und Co. reagierten empört, die NSA dementierte die Zugriffe. Google, Facebook, LinkedIn, Microsoft und Yahoo hatten unter anderem Ende 2013 gemeinschaftlich auf das Recht geklagt, ihre Kunden detaillierter über das Ausmaß der Anfragen von Seiten der NSA informieren zu dürfen. Ende Januar 2014 wurden ihnen Zugeständnisse bezüglich der Herausgabe von Informationen eingeräumt: In seinen Transparenzberichten darf Google nun etwas genauere Angaben darüber machen, wie oft Behörden die geheime Herausgabe von Nutzerdaten verlangt haben oder auf welcher rechtlichen Grundlage dies geschehen ist. In Bezug auf NSLs war dies bereits vorher möglich, neu ist die Auskunft über die FISA-Anfragen. Dabei werden den Konzernen zwei Varianten der Informationsweitergabe zur Auswahl gestellt: Es kann die Gesamtzahl aller Behörden-Nachfragen mit Bezug zur nationalen Sicherheit mit Schritten von jeweils 250 Anträgen genannt werden oder es darf aufgeschlüsselt werden, worauf die Anträge rechtlich beruhen (NSLs oder FISA-Anordnungen). Dabei dürfen die Zahlen der Nachfragen aber weiterhin nur in 1000er-Schritten angeben werden. Grundsätzlich darf die Veröffentlichung erst sechs Monate nach Stellung der Anfrage erfolgen.

Die fünf Internetkonzerne haben nach ihrem jüngsten Teilerfolg angekündigt, sich stetig vor Gericht für mehr Transparenz stark zu machen. Sie fordern außerdem innerhalb einer gemeinsamen Kampagne die Reform der staatlichen Überwachung.

Ferner gibt Google längst nicht nur Auskunft über die Anträge seitens amerikanischer Geheimdienste, sondern veröffentlicht Statistiken, die detailliert über Auskunftsersuchen von Strafverfolgungsbehörden aller Länder informieren. Denn weltweit können Behörden mithilfe von Gesetzen Nutzerdaten von Google fordern, um kriminelle Aktivitäten zu untersuchen. Google überprüft jedes Ersuchen, um sicherzustellen, dass es dem Gesetz entspricht. In einigen Fällen so Google, könne man die Herausgabe von Informationen ablehnen oder den Umfang des Ersuchens eingrenzen. Ein Beispiel: Deutschland rangiert nach den USA und Indien an dritter Stelle, wenn es um das Ersuchen von Nutzerkontendaten geht. Google hat in nur 48% der Fälle von Auskunftsersuchen Daten vorgelegt.

Fragen die sich Entscheider / Unternehmen als Nutzer von Google Apps for business in Bezug auf Sicherheitsbedenken stellen:

Haben amerikanische Behörden Zugriff auf meine Daten ohne dass ich davon etwas mitbekomme?

    • Ja, genauso, wie deutsche Behörden auch, wenn z.B. eine Straftat vorliegt. Google informiert seine Nutzer normalerweise über Rechtsersuchen, sofern dies nicht per Gesetz oder gerichtlicher Verfügung untersagt ist. Über FISA-Ersuchen darf nicht informiert werden, und auch als Empfänger eines NSL kann Google zum Stillschweigen verpflichtet werden.

Sind meine Daten bei Google Apps for business sicher?

    • Ja, im technischen Sinne ist Google so ziemlich der sicherste Ort der Welt. Denn kaum ein Unternehmen investiert in Datensicherheit so viel wie Google. Dieser hohe Standard ist auch mehrfach zertifiziert.

Muss ich meinen deutschen Kunden und Partnern mitteilen, dass ich meine Daten bei Google Apps for Business speichere?

    • Grundsätzlich ja, das Bundesdatenschutzgesetz schreibt vor, dass beim Speichern von personenbezogenen Daten eine Informationspflicht vorliegt. Allerdings lässt sich die Frage nicht immer pauschal beantworten. Da wir keine Rechtsanwälte sind und keine Rechtsberatung leisten können, sollten Sie sich im konkreten Fall von einem Anwalt beraten lassen.

Sicherheit als höchste Prioriät

Der unerlaubte Zugriff auf sensible Daten – gerade in Unternehmen ist diese Befürchtung seit Bekanntwerden der Ausspäh­aktivitäten inter­nationaler Geheim­dienste größer denn je. Gleichzeitig wird es als positiver Trend bewertet, dass durch den Überwachungsskandal neue Impulse für eine intensive Auseinandersetzung mit Datensicherheit gegeben wurden. Die Technologie- und Kommunikationsunternehmen reagieren entsprechend mit noch größeren Sicherheitsmaßnahmen, fordern eine verschärfte Kontrolle der Geheimdienste sowie mehr Transparenz. Google hat zusätzliche Verschlüsselungen für den internen Datenverkehr eingeführt, um die Daten seiner Nutzer vor unautorisierten Zugriffen stärker zu schützen. Grundsätzlich misst Google dem Schutz von Kundendaten höchste Priorität zu – die Kunden profitieren entsprechend von der komplexen Sicherheitsinfrastruktur, die stets optimiert wird.

+++Update: Google erweitert Sicherheit++++

Bildquelle: http://pixabay.com/de/google-suchmaschine-76522/

Mit Einführung der EU-Standardvertragsklauseln bietet Google mehr Rechtssicherheit für Unternehmen, die Google Apps for Business einsetzen. Gerade Unternehmen, die bisher den Einsatz von Google Apps for Business aufgrund von Datenschutzbedenken gescheut haben, sollten dies als Anlass nehmen, Chancen und Risiken noch einmal neu zu bewerten.

Bitte denken sie daran: Wir sind keine Rechtsanwälte. Daher können und wollen wir ihnen hier keine Rechtsberatung geben. Bitte wenden sie sich an einen Anwalt, wenn sie eine rechtliche Bewertung und Beratung im Zusammenhang mit den neuen Vertragsmöglichkeiten benötigen.

Den vollständigen Text der Vertragsergänzungen können sie hier abrufen:

Wenn sie bereits Kunde von Google Apps for Business sind, dann können sie die Vertragsergänzungen in ihrer Admin-Konsole aktivieren unter Domain-Einstellungen / Allgemein / Zusätzliche Bedingungen für Sicherheit und Datenschutz.

Wenn sie eine persönliche Beratung zu den Möglichkeiten von Google Apps for Business für ihr Unternehmen wünschen, dann kontaktieren sie uns. Wir freuen uns auf sie!

Googles offizielle Bekanntmachung im englischen Enterprise Blog finden sie hier